تقول الدراسة إن تطبيقات Bumble وHinge والتطبيقات الأخرى كان عليها حل مخاطر الخصوصية

تتطلب تطبيقات المواعدة من المستخدمين الكشف عن المعلومات الضعيفة، وليس فقط الأحلام الرومانسية لشخص ما. في معظم الأوقات، تتطلب هذه التطبيقات بيانات شخصية مثل اسمك وعمرك وموقعك. وفي الحالة الأخيرة، توضح ورقة بحثية جديدة أن العديد من التطبيقات الرئيسية، لبعض الوقت، تركت مواقع المستخدمين قابلة للكشف من قبل الخصوم المحتملين.

التعارف نقاط الضعف في موقع التطبيق

في بحث جديد صادر عن الجامعة البلجيكية KU Leuven، بعنوان “Swipe Left for Identity Theft”، قام الباحثون بتحليل مخاطر الخصوصية المحتملة لـ 15 تطبيقًا للمواعدة القائمة على الموقع (LBDs) مع ما لا يقل عن 10 ملايين عملية تنزيل. في هذه الأيام، تعتمد تطبيقات المواعدة عادةً على الموقع لمساعدة المستخدمين في العثور على التطابقات القريبة منهم فعليًا. ومع ذلك، من خلال الحاجة إلى الموقع، فإنه يفتح المستخدمين أمام المخاطر المحتملة.

تستخدم جميع التطبيقات باستثناء مسافة واحدة بين المستخدمين لقياس الموقع. (هذا الاستثناء، يستخدم تطبيق TanTan – وهو تطبيق مواعدة آسيوي – الإحداثيات الدقيقة مرة واحدة عند نقطة المطابقة، وفقط إذا كانت متطابقة). الموقع “، تقول الورقة. “يتم ذلك من خلال التثليث.”

التثليث هو عملية تحديد الموقع عن طريق قياس المسافات بين ثلاثة مثلثات (أو دوائر، أو مجالات). هناك أنواع مختلفة من تطبيقات التثليث تستخدم لتحديد الموقع. وجد المؤلفون – كاريل دوندت، وفيكتور لو بوشات، ويانا ديموفا، وفوتر جوسين، وستيجن فولكيرت – أنهم كانوا قادرين على تحديد موقع دقيق تقريبًا في ستة من أصل 15 تطبيقًا، وفقًا لما ذكره موقع TechCrunch.

ما هي تطبيقات المواعدة التي بها ثغرات أمنية في الموقع؟

وكانت الثغرة الأمنية الأكثر شيوعًا هي من خلال “ثلاثية أوراكل”، والتي توضحها الورقة، “يستخدم الخصوم نظامًا وحي يشير من خلال إشارة ثنائية إلى ما إذا كان الضحية موجودًا على مقربة، أي عندما يكون ضمن “مسافة قريبة” محددة من المهاجم.”

كانت Hinge و Bumble و Badoo (المملوكة لشركة Bumble) و Hily عرضة لمثل هذه الثلاثية.

وقال متحدث باسم المفصلة لـ Mashable:

في Hinge، تعد سلامة وخصوصية مستخدمينا دائمًا أولوية قصوى. تم تصميم تطبيقنا باستخدام نهج الخصوصية حسب التصميم ويحمي بشكل صارم بيانات المستخدم الحساسة. نحن فخورون ببرنامج مكافأة الأخطاء المتطور لدينا وحوارنا المستمر مع الباحثين، والذي تم تصميمه لجذب التعليقات حتى نتمكن من إجراء التعديلات قبل حدوث أي ضرر لمستخدمينا. لقد قمنا بمراجعة التعليقات الواردة من فريق البحث هذا عندما تلقيناها في أوائل عام 2023 واتخذنا الإجراءات اللازمة على الفور عند الاقتضاء.

قال متحدث باسم Bumble لكل من TechCrunch وMashable، “لقد علمنا بهذه النتائج في أوائل عام 2023، وقمنا بحل المشكلات الموضحة بسرعة. باعتبارنا شركة عالمية تضم أعضاء في بلدان في جميع أنحاء العالم، نحن ملتزمون بحماية خصوصية مستخدمينا”. واعتمدت نهجًا عالميًا للامتثال للخصوصية.”

وقال بامبل لموقع Mashable إن هذا البيان ينطبق على Badoo أيضًا.

شارك دميترو كونونوف، المدير التنفيذي للتكنولوجيا والمؤسس المشارك لشركة Hily، هذا البيان مع TechCrunch:

أشارت النتائج إلى إمكانية محتملة للتثليث. ومع ذلك، من الناحية العملية، كان استغلال ذلك لشن هجمات مستحيلاً. ويرجع ذلك إلى آلياتنا الداخلية المصممة للحماية من مرسلي البريد العشوائي ومنطق خوارزمية البحث لدينا… وعلى الرغم من ذلك، شاركنا في مشاورات مكثفة مع مؤلفي التقرير وقمنا بشكل تعاوني بتطوير خوارزميات جديدة للترميز الجغرافي للقضاء تمامًا على هذا النوع من الهجمات. لقد تم تنفيذ هذه الخوارزميات الجديدة بنجاح منذ أكثر من عام حتى الآن.

كان Grindr عرضة لـ “التثليث الدقيق للمسافة”. يمكن القيام بذلك عندما تكشف الخدمات عن مسافات محددة للمستخدمين الآخرين. تمكن المؤلفون من معرفة مواقع المستخدمين على مسافة قريبة تصل إلى 111 مترًا (حوالي 364 قدمًا). كان التثليث الدقيق للمسافة ممكنًا حتى عندما تكون المسافة مخفية، كما هو الحال في مصر حيث يقوم Grindr بإخفاء جميع مواقع المستخدم لأسباب تتعلق بالسلامة.

“إن القرب الذي توفره Grindr لهذا المجتمع له أهمية قصوى في توفير القدرة على التفاعل مع الأشخاص الأقرب إليهم، هذا ما قالته كيلي بيترسون ميراندا، كبيرة مسؤولي الخصوصية في Grindr، لـ TechCrunch. “كما هو الحال مع العديد من الشبكات الاجتماعية وتطبيقات المواعدة القائمة على الموقع، يتطلب Grindr معلومات موقع معينة من أجل ربط مستخدميها بالأشخاص القريبين…مستخدمو Grindr يتحكمون في معلومات الموقع التي يقدمونها.”

أخيرًا، كان التطبيق عرضة لـ “تثليث المسافة الدائرية”، وهو ما يمكن القيام به إذا كان التطبيق يستخدم موقعًا مستديرًا كإجراء وقائي. وقالت كريمة بن عبد الملك، الرئيس التنفيذي ورئيس هابن، لـ TechCrunch:

وبعد مراجعة نتائج البحث من قبل كبير ضباط الأمن لدينا، أتيحت لنا الفرصة لمناقشة طريقة التثليث مع الباحثين. ومع ذلك، فإن هابن لديه طبقة إضافية من الحماية تتجاوز مجرد تقريب المسافات… لم يتم أخذ هذه الحماية الإضافية في الاعتبار في تحليلهم واتفقنا بشكل متبادل على أن هذا الإجراء الإضافي على هابن يجعل تقنية التثليث غير فعالة.

يبدو أنه بالنسبة للتطبيقات التي تحتوي على نقاط الضعف هذه، اتخذت التطبيقات إجراءات لمنع الجهات الفاعلة السيئة من تحديد موقع المستخدم باستخدام التثليث، باستثناء Grindr.

ما هي تطبيقات المواعدة التي لم تكن عرضة للخطر؟

وفقًا للصحيفة، استخدم Tinder وLOVOO “التقاط الشبكة” لمنع التثليث. التقاط الشبكة هو أسلوب لتقسيم موقع الشخص إلى شبكة من المربعات. يتم نقل الإحداثيات (ويعرف أيضًا باسم مكان تواجد المستخدمين) إلى وسط هذه المربعات (Tinder) أو الجانب الأيمن (LOVOO) ويتم قياس مسافة الشخص من هناك. ولذلك، فإن المسافة الفعلية بينهما غير دقيقة ولا يمكن تثليثها.

لا يتمكن الكثير من Fish وMeetic من الوصول إلى مواقع GPS. وبينما يصل كل من MeetMe وTagged وOkCupid إلى هذه المعلومات، يقومون بتحويلها إلى أقرب مدينة. لم يتمكن المؤلفون من إجراء هندسة عكسية للمعلومات التي يحتاجونها لـTanTan وJaumo، لذلك لم يتمكنوا من اختبار هذه الطريقة للعثور على مواقع المستخدمين.

وتوضح الورقة أهمية الحذر عند استخدام تطبيقات المواعدة. وكما خلصت الورقة البحثية، “نأمل أن يؤدي الوعي الذي نجلبه لهذه المشكلات إلى دفع مقدمي تطبيقات LBD إلى إعادة النظر في ممارسات جمع البيانات الخاصة بهم، وحماية واجهات برمجة التطبيقات الخاصة بهم”. [application programming interfaces] من تسرب البيانات، ومنع استنتاج الموقع، ومنح المستخدمين التحكم في بياناتهم وبالتالي خصوصيتهم في نهاية المطاف.”